张超作为百度企业IT平台部高级经理,在任职12年间主要负责企业IT平台建设,包括园区网络、WIFI、SDWAN、VPN及智能化建设等。其工作基于TCP/IP五层模型,通过安全大模型和应急响应机制,从黑客视角思考,构建应用层、传输层、网络层、链路层和物理层的安全防护体系。
安全架构建设
- 防护架构:基于TCP/IP五层模型,结合安全大模型(YES/NORule)、感知规则、应急响应,防护应用层、传输层、网络层、链路层和物理层威胁。
- 终端安全:通过七层安全网关、软件资产管理、终端基线、可信终端库等手段,实现终端安全管控。
- 身份认证:采用Radius、AD解耦、802.1X、随机账密等方式,结合WiFi认证、VPN认证、堡垒机等,提升认证安全性。
WiFi攻击与认证优化
- 攻击分析:公司边界近源钓鱼攻击、内部合法SSID与非法SSID混用、地铁站外围钓鱼攻击等。
- 认证痛点:PC和移动端一键联网需求、WiFi认证与AD解耦迫在眉睫。
- 解决方案:自研RadiusServer实现AD解耦,支持多因素认证,降低AD依赖。
传统VPN挑战与百度方案
- 传统VPN问题:客户端安全性低(疲劳攻击)、体验差(需安装客户端)、服务端拓展性差、云上部署成本高。
- 百度VPN方案:度管家客户端集成功能,支持传统厂商VPN对接;自研服务端实现云化部署、全球节点拓展、智能选路和成本优化。
应用安全与动态策略
- 身份+动态策略:结合OA、IDC、用户属性,实现动态访问控制,区别于传统静态策略。
- 七层应用安全网关:通过动态脱敏、WEB水印、身份管理服务,持续检测应用层威胁。
终端安全基线系统
- 管控手段:配置检测、补丁管理、密码强度、锁屏策略、软件进程、杀毒软件、DLP黑白名单等。
- 实时联动:与网络安全网关联动,实现终端安全动态防护。
堡垒机与合规管理
- 传统堡垒机问题:软件繁杂、采购成本高、拓展性差。
- 新一代堡垒机:浏览器独立客户端、端云同步、无密认证、网络防抖,提升安全便捷性。
软件资产管理解决方案
- 成本黑洞:软件合规问题突出,需解决装机数量与授权使用问题。
- 解决方案:基于岗位属性和实际使用频率识别刚性需求,内置风险模型封禁终端数据,降低泄漏风险。
- 平台功能:软件仓库、分类管理、授权许可、使用申请、合规预警等。
用户反馈与AI迭代
- 系统迭代:倾听员工声音,基于AI能力加强后验感知和处置能力,减少前置阻断。
- 工单质检:通过大模型分析客服对话内容,优化工单解决率和客服绩效。
百度企业办公安全解决方案全景
- 架构:端网关(四层/七层)+应用层管理(软件资产管理、终端管控)+场景化服务(远程办公、应用商店、一键联网等)。
- 核心优势:身份认证、可信任终端接入、网络测速、安全联动,构建一体化安全体系。
结论:百度通过动态策略、终端管控、合规管理、AI迭代等手段,构建了从认证到应用的全链路安全防护体系,有效应对传统安全方案的痛点,提升企业办公安全性与效率。
企业IT平台部高级经理
CCIE#29400
百度任职12年期间主要工作职责
家庭防盗三层架构
基于TCP/IP五层模型防护架构
WiFi攻击:公司边界近源钓鱼攻击
WiFi攻击:地铁站等外围钓鱼
WiFi一键自动无感连接,实现与AD解耦
传统VPN面临的挑战
百度VPN解决方案
云化部署,快速扩缩容:快捷对接第三方云厂商,节点可拓展至全球智能选路:实时链路质量探测,为客户端提供最优链路成本优化:基于客户端上报信息,调度全球节点开启/关闭
All-in-one:度管家功能集成高拓展性:支持传统厂商VPN对接体验优先:指纹认证,快捷登录
七层应用安全网关
终端安全基线
IDC安全管理:堡垒机平台
企业成本黑洞:软件合规问题应对思考
软件资产管理解决方案
用户为先:倾听员工声音,构建基于反馈驱动的系统迭代体系
效率平衡:基于AI能力加强后验的感知和处置能力,减少前置阻断
IT客服工单质检大模型应用案例
百度企业办公安全解决方案全景
像黑客一样思考问题
感谢您的聆听
